7.11. Обеспечение безопасности сети

По сетям часто передаются конфиденциальные данные. Защита конфиденциальной информации требует ограничения доступа к сети. Проблема, вызванная совместным использованием локальных сетей, состоит в том, что в такую сеть можно относительно легко проникнуть. Подключившись к активному порту, вторгшийся без разрешения в сеть пользователь получает доступ ко всем данным, передаваемым по сегменту. При этом чем больше группа, тем больше потенциальная угроза несанкционированного доступа.

Одним из эффективных в финансовом отношении и легко административно реализуемых методов повышения безопасности является сегментация сети на большое количество широковещательных групп. Это позволяет сетевому администратору:

· ограничить количество пользователей в группе виртуальной сети;

· запретить другим пользователям подсоединение без предварительного получения разрешения от приложения, управляющего виртуальной сетью;

· установить конфигурацию всех неиспользуемых портов в принимаемое по умолчанию состояние низкой активности VLAN. Реализовать сегментацию такого

77

типа относительно просто. Порты коммутатора группируются на основе типа приложений и приоритетов доступа.

Приложения и ресурсы, доступ к которым ограничен, обычно размещаются в защищенной группе виртуальной сети. Маршрутизатор ограничивает доступ в эту группу в соответствии с конфигурацией коммутаторов и маршрутизаторов. Ограничения доступа могут основываться на адресах станций, типах приложений или типах протоколов.

7.12. Конфигурирование сетей vlan в коммутаторах Catalyst

Некоторые устройства назначают принадлежность станций к сетям VLAN в соответствии со значениями их МАС-адресов. В коммутаторах Catalyst используется дру-гой подход, а именно: назначение портов в принадлежность к сетям VLAN. Любое устройство, подключенное к порту коммутатора Catalyst, принадлежит сети VLAN в соответствии с описанием, которое осуществляется с помощью интерфейса командной сроки коммутатора. Даже если к порту подключен концентратор разделяемого доступа, то все равно все станции, подключенные к концентратору, принадлежат одной сети VLAN. Данный подход к организации сетей VLAN называется построением виртуальных локальных сетей на портовой основе (port-centric). Для конфигурации сетей VLAN в коммутаторах Catalyst вначале необходимо составить план принадлежности станций к сетям VLAN и правильно привязать порты к ним. Планирование принадлежности узлов к определенным виртуальным сетям включает знание того, какие сети третьего уровня должны принадлежать сети VLAN, какой необходим тип соединений между сетями VLAN и где сети VLAN должны подключаться к уровню распределения. Необходимо ли при реализации структуры использовать сквозные сети VLAN или использовать подход третьего уровня? После завершения всех стадий планирования остается только создать сами сети VLAN.

7.12.1. Планирование сетей vlan

Перед тем, как активизировать новую конфигурацию сетей VLAN, необходимо четко себе представлять, что именно необходимо сделать и как новые действия скажутся на других сетях VLAN или рабочих станциях, которые уже существуют в системе. На данной стадии планирование, в основном, должно концентрироваться вокруг факторов третьего уровня. Какие типы сетей должны поддерживаться в системе VLAN? Необходимо ли в сети VLAN использовать более одного протокола? Поскольку каждая сеть VLAN соответствует широковещательному домену, то существует возможность поддержки нескольких протоколов в сети VLAN. Однако каждому протоколу может соответствовать только одна сеть в системе VLAN.

78

Система, состоящая из _{еть 100,200,30 Сеть 00,300} нескольких коммутаторов, как в

случае, показанном на рисунке. 41, может содержать несколько сетей VLAN.

Каждая сеть VLAN, показанная на рисунке. 41, поддерживает

несколько протоколов. Для связи

еть 300 еть 100,200,30

сетей друг с другом информация _{Рис 41. Планирование сетей VLAN} должна передаваться через

маршрутизатор. Маршрутизатор, показанный на ответвлении сети, используется для соединения сетей друге другом. Ниже представлен конфигурационный файл такого маршрутизатора.

Файл конфигурации маршрутизатора, показанного на рисунке. 41 interface fastethernet 2/0.1

ip address 172.16.10.1 255.255.255.0 ipx network 100

encapsulation isl 100 interface fastethernet 2/0.2 ip address 172.16.20.1 255.255.255.0

ipx network 200

encapsulation isl 200 interface fastethernet 2/0.3 ip address 172.16.30.1 255.255.255.0 encapsulation isl 300

В примере показано, что между коммутатором и маршрутизатором установлено магистральное соединение (trunk). Магистральные соединения и инкапсуляция протокола межкоммутаторного канала (Inter-Switch Link — ISL). Магистральные соединения позволяют осуществлять передачу трафика более чем одной сети VLAN по одному физическому соединению. Команда encapsulation isl, показанная в примере, указывает маршрутизатору на необходимость использовать протокол ISL для того, чтобы осуществлять взаимодействие между широковещательными доменами, в которые входит каждый отдельный подынтерфейс. Следует заметить, что в конфигурации маршрутизатора используются логические подынтерфейсы. Обычно на маршрутизаторе каждому интерфейсу назначается один адрес для каждого протокола. Однако, если необходимо, чтобы один интерфейс виделся для протоколов маршрутизации как несколько интерфейсов, то в таких случаях можно использовать несколько

79

подынтерфейсов, например, когда необходимо создать магистральное соединение между коммутатором Catalyst и маршрутизатором, как это показано в примере. Маршрутизатору необходимо идентифицировать различные широковещательные домены, соответствующие различным сетям VLAN, данные которых передаются по магистрали.

В маршрутизаторах Cisco для построения магистрали используется подход на основе подынтерфейсов, чтобы заставить маршрутизатор использовать один физический интерфейс как несколько физических интерфейсов. Каждый подынтерфейс определяет новый широковещательный домен, соответствующий одному физическому интерфейсу, который может принадлежать к своей сети протокола IP, даже в случае, когда все подынтерфейсы принадлежат одному главному (major) интерфейсу. В конфигурации, приведенной в примере, используются три подынтерфейса, т.е. один физический интерфейс (главный интерфейс) interface fastethernet 2/0 в действительности представляет собой три физических интерфейса и соответствует трем широковещательным доменам. Каждый из них входит в различную сеть IP. Для маршрутизаторов Cisco подынтерфейсы легко определяются, поскольку в описании главного интерфейса для них используется запись в виде /х. Например, подынтерфейс 3 в примере определяется как int fastethernet 2/0.3, где .3 задает подынтерфейс, соответствующий главному интерфейсу.

Какие из сетей, показанных в примере, являются изолированными друг от друга? Сеть протокола IPX с номером 300 является изолированной, поскольку в конфигурации маршрутизатора данная сеть не определена для других интерфейсов.

Иногда физическая конфигурация сети может сбивать с толку. Вопрос: "Можно ли это сделать с помощью сетей VLAN?". Часто ответ может быть найден путем представления логической конфигурации сетей VLAN. На рисунке 41 показана физическая топология сети. На рисунке каждая сеть VLAN заменена линией, которая маркируется номерами сетей, связанных с каждой сетью VLAN. Такое более традиционное представление помогает при проектировании и использовании сетей VLAN, поскольку сети и их компоненты показаны вместе с их логическими взаимоотношениями.